APT Earth Krahang dirige sus operaciones a entes gubernamentales

Se ha evidenciado una nueva campaña de malware por parte de actores de amenaza asociados a China, que busca comprometer distintas instituciones gubernamentales en todo el mundo  a través de la explotación de servidores públicos, mediante el envío de correos electrónicos de spear phishing que les permiten establecer puertas traseras con el C&C y atacar otras entidades gubernamentales, la campaña ha estado dirigida principalmente al sudeste asiático, sin embargo, de acuerdo a los investigadores de Trendmicro, también se han visto afectados países de Europa, América y África.

¿Cómo se propaga?

Ilustración 1: Cadena de compromiso
Fuente: Trendmicro

El acceso inicial, parte con el reconocimiento de servidores expuestos en internet a través del escaneo de archivos .git (conformado por archivos Blob, Tree, Commit y Annotated Tag) y .idea (archivos de tipo imagen vectorial), mediante búsquedas recursivas de directorios, una vez que los actores de amenaza encuentran estos archivos, aplican fuerza bruta para ayudar a identificar los que pueden contener información confidencial, como rutas de archivos o contraseñas en los servidores de la víctima, entre las herramientas de código abierto identificada por los investigadores para el escaneo de los archivos se encuentran:

• sqlmap
• nuclei
• xray
• vscan
• pocsuite
• wordpressscan

Posterior al acceso inicial a través de los archivos escaneados, los actores de amenaza explotan vulnerabilidades en Oracle Web Applications Desktop y el servidor Openfire, dichas vulnerabilidades son rastreadas con los CVE-2023-32315 y CVE-2022-21587 respectivamente,  para obtener acceso a los servidores de la víctima.

Una vez que se establece la puerta trasera con el C&C, los actores de amenaza hacen uso del correo electrónico de sus objetivos, encontrados durante la fase de reconocimiento; para enviar archivos adjuntos maliciosos a direcciones de la misma entidad gubernamental u otras entidades gubernamentales con el fin de distribuir un archivo adjunto malicioso de tipo RAR que contiene un archivo LNK que implementa el malware Xdealer. Con este método los actores de amenaza abusan de la confianza entre los gobiernos usando sus servidores gubernamentales para efectuar el movimiento lateral interinstituciones. Entre algunos de los asuntos de los correos enviados por los actores de amenaza para eludir  a sus víctimas se encuentran:

• Sueldo
• Circular del Ministerio de Defensa de Malasia
• El ministro de Defensa de Malasia visita Hungría
• Audiencias públicas de la CIJ - Guyana vs. Venezuela
• Acerca de la propuesta de adquisiciones de Guyana para Taiwán <censurado>

Atribución

La atribución de la campaña parece estar vinculada a un conjunto de actores asociados a una amenaza persistente avanzada (APT) con vínculos al estado chino, los investigadores nombraron a esta APT Earth Krahang, si bien no está clará la atribución, los investigadores tienen un grado de confianza moderado respecto a la similitud de las técnicas y payloads usados en este campaña con una anterior que había expuesto con el nombre de  Earth Lusca.

La relación de éstos actores de amenazas Earth Lusca y  Earth Krahang, parece asociarse a la infraestructura sobre la cual operan sus C&C, aunque con diferencias  en la preferencia de las puertas traseras de la etapa inicial, que de acuerdo a los investigadores parecen ser muy diferentes entre esta nueva campaña y las actividades previamente reportadas de Earth Lusca.

Los investigadores afirman que son dos conjuntos de intrusión que se ejecutan de forma independiente pero que apuntan a un rango similar de víctimas, cada vez más entrelazados a medida que se acercan a su objetivo, posiblemente incluso siendo administrados por el mismo grupo de amenaza.

Características de Earth Krahang

• Mantener la persistencia de la puerta trasera con la programación de tareas
• Habilitación de conexiones de Escritorio remoto modificando el Registro de Windows "fDenyTSConnections"
• Acceso a las credenciales mediante el volcado del servicio de subsistema de autoridad de seguridad local (LSASS) con Mimikatz o ProcDump
• Acceso a las credenciales mediante el volcado de la base de datos SAM (HKLM/SAM) desde el Registro de Windows
• Escaneo de la red con Fscan
• Ejecución lateral de código a través de WMIC
• Uso de herramientas como BadPotato, SweetPotato, GodPotato o PrinterNotifyPotato para la escalada de privilegios en sistemas Windows
• Aprovechamiento de CVE-2021-4034, CVE-2021-22555 y CVE-2016-5195 para la escalada de privilegios en sistemas Linux

Tácticas, Técnicas y procedimientos (MITRE ATT&CK )

Países afectados (mapa)

Entre los países con más afectación en esta campaña se encuentran varios países de Asia y América, pero también en Europa y África. Los investigadores afirman que son al menos 70 víctimas de diferentes organizaciones y de por lo menos 35 países a los que los actores de amenaza lograron comprometer. A continuación, se muestra un mapa en donde se reflejan los países más afectados.

Ilustración 1: Mapa de países afectados por ataques de Earth Krahang
Fuente: Trendmicro

Apreciación

Earth Krahang es una amenaza significativa para los gobiernos de todo el mundo. Su capacidad para explotar la confianza entre gobiernos y utilizar servidores web comprometidos para alojar malware la convierte en una amenaza difícil de detectar y combatir. Es importante que las entidades gubernamentales implementen medidas de seguridad robustas y capaciten a su personal para estar preparados ante este tipo de ataques.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.